防止xxl攻击,自定义过滤器

已于 2022-03-02 14:14:55 修改
阅读量434 收藏
点赞数
文章标签: XSS 过滤 过滤器 安全 防御
于 2022-03-02 14:13:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36069670/article/details/123229088
版权 
XssHttpServletRequestWrapper 
package com.rockontrol.air.pollution.xss;

import org.apache.commons.lang.StringEscapeUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;

/**
 * XSS过滤处理
 *
 * @author wdy
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private String _body;

    /**
     * @param request
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        _body = "";
        BufferedReader bufferedReader = request.getReader();
        String line;
        while ((line = bufferedReader.readLine()) != null){

            _body += line; //when i print this it shows proper data got from client machine

        }
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                // 防xss攻击和过滤前后空格

                escapseValues[i] = clean(values[i]).trim();
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }

    private String clean(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(clean(_body).getBytes());
        return new ServletInputStream() {
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }

            @Override
            public boolean isFinished() {
                // TODO Auto-generated method stub
                return false;
            }

            @Override
            public boolean isReady() {
                // TODO Auto-generated method stub
                return false;
            }

            @Override
            public void setReadListener(ReadListener arg0) {
                // TODO Auto-generated method stub

            }
        };
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }
}

filter类

package com.rockontrol.air.pollution.xss;

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * 防止XSS攻击的过滤器
 * 
 * @author dongpeng
 */
@WebFilter(filterName = "xssFilter", urlPatterns = "/*", asyncSupported = true)
@Component
public class XssFilter implements Filter
{
    /**
     * 排除链接
     */
    public List<String> excludes = new ArrayList<>();

    /**
     * xss过滤开关
     */
    @Value("${XSS_ENABLE:true}")
    public boolean enabled;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException
    {
        String tempExcludes = filterConfig.getInitParameter("excludes");
        String tempEnabled = filterConfig.getInitParameter("enabled");
        if (StringUtils.isNotEmpty(tempExcludes))
        {
            String[] url = tempExcludes.split(",");
            for (int i = 0; url != null && i < url.length; i++)
            {
                excludes.add(url[i]);
            }
        }
        if (StringUtils.isNotEmpty(tempEnabled))
        {
            enabled = Boolean.valueOf(tempEnabled);
        }
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException
    {


        HttpServletRequest req = (HttpServletRequest) request;


        HttpServletResponse resp = (HttpServletResponse) response;
        String contentType = req.getContentType();
        //如果是上传不用生成XSSHTTP对象
        if (contentType != null && contentType.toLowerCase().startsWith("multipart/")) {
            chain.doFilter(request, response);
        }
        if (handleExcludeURL(req, resp))
        {
            chain.doFilter(request, response);
            return;
        }
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response)
    {
        if (!enabled)
        {
            return true;
        }
        if (excludes == null || excludes.isEmpty())
        {
            return false;
        }
        String url = request.getServletPath();
        for (String pattern : excludes)
        {
            Pattern p = Pattern.compile("^" + pattern);
            Matcher m = p.matcher(url);
            if (m.find())
            {
                return true;
            }
        }
        return false;
    }

    @Override
    public void destroy()
    {

    }
}
RabbitMq_mr wang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整合XSS
03-20
springboot 整合预防xss攻击
springboot2.x使用Jsoup防XSS攻击的实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot2.0(十八):过滤XSS脚本攻击
小飞技术
07-18 1826
application.yml: # 防止XSS攻击 xss: # 过滤开关 enabled: false # 排除链接(多个用逗号分隔) excludes: # 匹配链接 urlPatterns: /user/* FilterConfig: import org.springframework.beans.factory.annotation.Value; import...
2023/4/9此账号被XXL攻击,注意防范(陌生地区请退出登录)
m0_63644111的博客
04-19 91
2023/4/9此账号被XXL攻击,注意防范。
如何防止XSS攻击
qq_36752945的博客
07-20 7685
如何防止XSS攻击 XSS攻击(跨站点脚本攻击),意即黑客恶意篡改你网页的前端代码,在里面注入一些恶意的 html+javascript的脚本,在你的浏览器内运行,获取你的信息,进行一些恶意操作。 xxs攻击的两种方式 一、反射型攻击 黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以
xxl.rar_java 词法分析器_xxl_词法分析器
09-19
标题"xxl.rar_java 词法分析器_xxl_词法分析器"暗示我们这里有一个名为"xxl"的Java实现的词法分析器项目。".rar"文件是压缩格式,通常用于打包多个文件,这可能是源代码、文档或其他相关资源。"xxl"可能是一个开发者...
xxljob执行器简单配置和token配置
12-26
本教程将详细讲解如何进行XXLJob执行器的简单配置以及Token配置。 首先,我们来看XXLJob执行器的基础配置。XXLJob的执行器是任务的载体,负责接收调度中心的调度命令并执行相应的任务。在部署执行器时,我们需要在`...
xxl-job-handler.zip
01-02
基于springboot方式定义xxljob的执行器基于springboot方式定义xxljob的执行器基于springboot方式定义xxljob的执行器基于springboot方式定义xxljob的执行器基于springboot方式定义xxljob的执行器基于...
xxl-job执行器源码编译
08-05
xxl-job执行器的编译好的.war包,如果用的是spring的道友可以下载!
xxl-job适配达梦数据库
最新发布
02-02
XXL-JOB由两部分组成:调度中心(XXL-JOB-Scheduler)和执行器(XXL-JOB-Executor)。调度中心负责任务的调度策略配置、触发以及监控,而执行器则执行实际的任务逻辑。在适配达梦数据库之前,XXL-JOB通常默认使用...
XSS攻击
m0_49471668的博客
06-24 914
得分点 XSS是跨站脚本攻击、向目标网站插入恶意代码、大量用户访问网站时运行恶意脚本获取信息 标准回答XSS是跨站脚本攻击(Cross Site Scripting),不写为CSS是为了避免和层叠样式表(Cascading Style Sheets)的缩写混淆,所以将跨站脚本攻击写为XSS。攻击者可以通过向Web页面里面插入script代码,当用户浏览这个页面时,就会运行被插入的script代码,达到攻击者的目的。 XSS的危害一般是泄露用户的登录信息cookie,攻击者可以通过cookie绕过登录步骤直接
浅析xxl-obj分布式任务调度平台RCE漏洞
道阻且长,行则将至。
12-29 3266
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞,攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
XSS漏洞通过HttpServletRequestWrapper实现
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1201
将参数中有关xss攻击的非法字符全部处理掉。
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1289
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
【xss】Java编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4756
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSS。 XSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2567
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
详解Xss 及SpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5478
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
xxl-job执行器
08-18
XXL-Job执行器是XXL-Job分布式任务调度平台中的一个核心组件,负责接收和执行调度中心发送的任务。执行器可以独立部署在各个执行节点上,通过与调度中心进行通信,实现任务的调度和执行。 XXL-Job执行器提供了丰富...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值